Popular Standard

MS ISO/IEC 27001: 2007 - Sistem Pengurusan Keselamatan Maklumat

Skop standard? Sistem Pengurusan Keselamatan Maklumat(ISMS)
Apakah maksud pengesahan berdasarkan standard?

Organisasi telah mewujudkan pendekatan yang sistematik untuk melindungi terutamanya maklumat yang sensitif daripada pelbagai ancaman bagi memastikan kelangsunganperniagaan, meminimumkan kerosakan perniagaan disebabkan oleh serangan, kebocoran maklumat dan bencana alam, memaksimumkan pulangan ke atas pelaburan dan peluang perniagaan. Ia meliputi individu, proses dan sistem teknologi maklumat. Dalam konteks standard ini, istilah maklumat termasuk semua bentuk data, dokumen, mesej, komunikasi, perbualan, rakaman dan fotografi.

Siapakah yang perlu memohon? Mana-mana organisasi tanpa mengira saiz
Standard yang digunakan?

Standard Kebangsaan

  • MS ISO/IEC 27001:2007 – Information technologies – Security techniques – Information Security Management Systems - Requirement

          (ISO/IEC 27001:2005, IDT)
          atau
Standard Antarabangsa

  • ISO/IEC 27001:2005 – Information technologies – Security techniques – Information Security Management Systems – Requirement
  • ISO/IEC 27001:2013 – Information technologies – Security techniques – Information Security Management Systems– Requirement

*ISO/IEC 27001:2013 telah diterbitkan pada Oktober 2013. Layari www.iso.org untuk butiran lanjut.Dokumen ini menggunakan ISO/IEC 27001:2005 sebagai rujukan. Proses peralihan ke standard versi tahun 2013 akan berlangsung untuk tempoh 1-2 tahun.

*Standard bagi siri MS ISO/IEC 27000tentang Pengurusan Keselamatan Maklumat juga disediakan untuk rujukan lanjut. Sila layari www.msonline.gov.myuntuk mendapatkan standard tersebut.  Standard-standard lain bagisiri ISO/IEC 27000boleh juga didapati di www.iso.org

Kitaran pensijilan?

Proses dan kitaran pensijilan

MS ISO 9001

Bagaimana membuat permohonan?

Senarai badan pensijilan yang diiktiraf oleh Jabatan Standard Malaysia boleh diakses melalui URL yang berikut
http://www.jsm.gov.my/web/guest/cb-directory

*URL mungkin berubah dari semasa ke semasa. Sila rujuk semula laman web Jabatan Standard Malaysia di www.jsm.gov.my jika URL tidak berfungsi.

Manfaat pensijilan
  1. ISMS menjamin kelangsungan perniagaan dengan melindungi maklumat yang menjadi aset kritikal perniagaan dari segi kerahsiaan, kredibilitidan ketersediaan. Perlindungan ini dilakukan dengan memastikan individu, proses, prosedur dan teknologi yang sesuai disediakan untuk melindungi aset maklumat
  2. Dengan mematuhi sistem, anda melindungi perniagaan anda dan memberikan keyakinan kepada pelanggan, pembekal dan pihak berkepentingan bahawa anda menyedari dan mampu menguruskan risiko keselamatan maklumat dan melaksanakan kawalan yang cukup untuk mengurangkan atau menghapuskan risiko tersebut
  3. Perniagaan anda akan menjimatkan lebih banyak wang bagi insidenkeselamatan kerana kos bagi mencegah insiden keselamatan adalah lebih kecil berbanding kos mengendalikan tindakan pembetulan selepas insiden berlaku
  4. Sistem ini menggalakkan penambahbaikan berterusan yang akan memberikan kelebihan saing kepada perniagaan anda untuk bersaing dalam pasaran manakala bagi mereka yang telah berjaya, akan menjadi lebih berjaya dan berdaya tahan
  5. Sistem ini juga menitikberatkan keperluan sumber manusia yang seterusnyaakan turut meningkatkan moral dan komitmen kakitangan dalam melindungi maklumat penting perniagaan
  6. Mematuhi standard memberikan anda pengiktirafan untuk kelebihan saing
  7. Semua yang di atas akan meningkatkan keberuntungan dan jaminan perniagaan
ISMS secara lebih mudah

Klausa 4 – Keperluan ISMS

  1. Mewujudkan Sistem Pengurusan Keselamatan Maklumat berdasarkan pendekatan proses, melaksanakan dan menambahbaik sistem
    • Mentakrif dan merancang sistem anda dengan :
      • mentakrifkan skop ISMS
      • mentakrifkan dasar ISMS organisasi
      • mentakrifkan pendekatan tentang menilai risiko
      • mengenal pasti risiko keselamatan dengan mengenal pasti aset yang terlibat, ancaman kepada aset tersebut, kelemahan yang dieksploit oleh ancaman itu dan impak kejadian risiko ke atas aset tersebut
    • Menganalisis dan menilai risiko keselamatan organisasi
    • Mengenal pasti dan menilai opsyen risiko dan tindakan pengolahan
    • Memilih objektif kawalan serta kawalan untuk mengolah risiko bagi memenuhi keperluan yang dikenal pasti melalui proses penilaian risiko danpengolahan risiko
    • Memastikan pengurusan meluluskan risiko sisa (risiko selebihnya yang masih ada selepas penilaian risiko dilaksanakan)
    • Mendapatkan kelulusan pengurusan untuk melaksanakan dan mengendalikan ISMS untuk organisasi
    • Menyediakan Pernyataan Kebolehgunaan (SoA) yang menyenaraikan objektif kawalan tertentu dan kawalan organisasi seperti yang disenaraikan dalam Lampiran A standard.
  2. Melaksanakan dan mengendalikan ISMS
    • Membangunkan dan melaksanakan rancangan pengolahan risiko untuk menguruskan risiko keselamatan maklumat organisasi
    • Melaksanakan kawalan keselamatan organisasi dan mentakrifkan cara mengukur keberkesanan kawalan keselamatan
    • Melaksanakan program latihan dan kesedaran
    • Menguruskan dan mengendalikan ISMS organisasi
    • Menguruskan sumber ISMS
    • Mewujudkan prosedur untuk mengenal pasti insiden keselamatan dan maklumbalas  terhadap insiden keselamatan
  3. Memantau dan mengkaji semula ISMS dengan :
    • Melaksanakan, memantau dan mengkaji semula prosedur untuk mengesan kesilapan, mengenal pasti insiden dan pelanggaran keselamatan samada cubaan atau yangsebenar, membolehkan pengurusan mengesan aktiviti keselamatan tersebut dan melaksanakannya seperti yang dijangkakan, mencegah insiden keselamatan dan memastikan keberkesanan tindakan yang diambil terhadap pelanggaran keselamatan
    • Menjalankan kajian semula ISMS secara tetap dan mengukur keberkesanan kawalan
    • Mengkaji semula penilaian risiko, risiko sisa dan tahap risiko boleh terima secara tetap.
    • Menjalankan audit dalaman ke atas ISMS
    • Menjalankan kajian semula pengurusan ke atas ISMS dan mengemaskinikan rancangan keselamatan maklumat
    • Menyelenggara rekod insiden dan tindakan ISMS
  4. Menyelenggara dan menambah baik ISMS
    • Melaksanakan penambahbaikan yang dikenal pasti untuk sistem
    • Mengambil tindakan pembetulan dan pencegahan yang sesuai dan belajar daripada pelanggaran dan insiden
    • Menyampaikan tindakan dan penambahbaikan serta memastikan penambahbaikan yang digunakan dapatmencapai objektif yang ditetapkan
  5. Mendokumenkan sistem dan menerangkan bagaimana ia berfungsi dalam organisasi melalui manual, prosedur, arahan kerja dll., dan mesti memasukkan pernyataan dasar ISMS, prosedur dan kawalan yang dikehendaki oleh ISMS, metodologi risiko, laporan penilaian risiko dan rancangan pengolahan risiko.
  6. Mendokumenkan Prosedur Kawalan untuk mengawal dokumen yang digunakan untuk ISMS
  7. Merekodkan Prosedur Kawalan untuk mengawal rekod yang digunakan untuk ISMS

Klausa 5 – Keperluan Pengurusan

Pengurusan organisasi anda perlu menunjukkan bukti bagi komitmen terhadap pewujudan, pelaksanaan, operasi, pemantauan, kajian semula, penyelenggaraan dan penambahbaikan ISMS seperti yang dikehendaki dengan:

  1. mewujudkan dasar, objektif dan rancangan ISMS
  2. mewujudkan peranan dan tanggungjawab untuk keselamatan maklumat
  3. menyampaikan kepada organisasi tentang pentingnya memenuhi objektif keselamatan maklumat dan mematuhi dasar keselamatan maklumat, tanggungjawabnya di bawah undang-undang dan keperluan penambahbaikan berterusan
  4. menyediakan sumber yang cukup untuk mewujudkan, melaksanakan, mengendali, memantau, mengkaji semula, menyelenggara dan menambah baik ISMS
  5. memutuskan kriteria untuk menerima risiko dan tahap risiko boleh terima
  6. memastikan audit dalaman ISMS dijalankan seperti yang dirancang
  7. menjalankan kajian semula pengurusan terhadap ISMS pada sela masa yang ditetapkan
  8. mengenal pasti sumber yang diperlukan untuk sistem dan menyediakannyauntuk ISMS
  9. memastikan kecekapan sumber manusia, mengenal pasti dan memberikan latihan yang diperlukan kepadamereka. Menilai kecekapan selepas latihan

Klausa 6 – Audit Dalaman

Mewujudkan prosedur audit dalaman dan menjalankan audit seperti yang dirancang

Klausa 7 – Kajian Semula Pengurusan

Mengadakan mesyuarat kajian semula pengurusan untuk menilai keberkesanan ISMS melalui penilaian input kajian semula dan memastikan output kajian semula memasukkan keputusan dan tindakan yang diperlukan untuk menambah baik ISMS

Klausa 8 – Pengukuran, analisis dan penambahbaikan

  1. Memastikan hasil penambahbaikan berterusan dan keberkesanan ISMS melalui penggunaan dasar keselamatan maklumat, objektif keselamatan maklumat, keputusan audit, analisis bagi insiden yang dipantau, tindakan pembetulan dan pencegahan serta kajian semula pengurusan
  2. Mewujudkan prosedur bagi tindakan pembetulan dan pencegahan

**Penafian:Tafsiran mungkin berbeza dalam keadaan, skop dan persekitaran tertentu. Standard ini hendaklah digunakan sebagai garis panduan dan gambaran keseluruhan umum dalam mematuhi standard. Panduan dan bimbingan oleh sumber yang terlatih diperlukan bagi memastikan tafsiran dan pelaksanaan standarddilakukan dengan betul.